El Servicio de Investigación del Parlamento Europeo (EPRS) advirtió recientemente que las redes privadas virtuales (VPN) se utilizan cada vez más para eludir los sistemas de verificación de edad en línea, y describió esta tendencia como una "laguna en la legislación que debe cerrarse". La advertencia se produce mientras los gobiernos de Europa y otros lugares continúan ampliando las reglas de seguridad infantil en línea, exigiendo que las plataformas verifiquen la edad del usuario antes de otorgarle acceso a contenido para adultos o con restricción de edad.
VPN es una herramienta de privacidad diseñada para cifrar el tráfico de Internet y ocultar la dirección IP del usuario enrutando la conexión a través de un servidor remoto. Si bien las VPN se utilizan ampliamente con fines legítimos, como proteger las comunicaciones, evitar la vigilancia y permitir el trabajo remoto seguro, los reguladores están cada vez más preocupados de que la tecnología también permita a los menores eludir los controles de edad regionales. El Servicio de Investigación del Parlamento Europeo señala que el uso de VPN ha aumentado después de que países como el Reino Unido y varios estados de EE. UU. implementaron leyes obligatorias de verificación de edad. En el Reino Unido, ahora se requieren servicios en línea para evitar que los niños accedan a contenido dañino y, según se informa, las aplicaciones VPN dominaron las listas de descargas después de que la ley entró en vigor.
El documento define claramente las VPN como un vacío regulatorio, y señala que algunos formuladores de políticas y defensores de la seguridad infantil creen que el acceso a las VPN en sí debería requerir verificación de edad. El Comisionado de la Infancia de Inglaterra también ha pedido que los servicios VPN se restrinjan sólo a adultos. Sin embargo, obligar a los usuarios a verificar su identidad antes de acceder a un servicio VPN podría debilitar gravemente las protecciones del anonimato y crear nuevos riesgos en términos de vigilancia y recopilación de datos. Los proveedores de VPN y otros defensores de la privacidad han expresado su oposición al enfoque en una carta dirigida a los responsables políticos del Reino Unido.
El mes pasado, los investigadores descubrieron múltiples vulnerabilidades de seguridad y privacidad en la aplicación oficial de verificación de edad de la Comisión Europea poco después de su lanzamiento. Se descubrió que la aplicación, que fue promocionada como una herramienta de privacidad bajo la Ley de Servicios Digitales (DSA), almacenaba imágenes biométricas sensibles en una ubicación no cifrada, exponiendo debilidades que podrían permitir a los usuarios eludir por completo los controles de verificación.
El documento del Servicio de Investigación del Parlamento Europeo reconoce que la verificación de la edad sigue siendo técnicamente difícil y fragmentada en toda la UE. Se ha descrito que los sistemas actuales basados en la autodeclaración, la estimación de la edad o la verificación de la identidad son relativamente fáciles de eludir para los menores. El informe destaca métodos emergentes, como el sistema de verificación "doble ciego" utilizado en Francia, en el que los sitios web sólo reciben confirmación de que un usuario cumple con los requisitos de edad sin conocer la identidad del usuario, mientras que el proveedor de verificación no puede ver qué sitios web ha visitado el usuario.
Al mismo tiempo, los reguladores están empezando a abordar el uso de VPN directamente en la legislación. Utah se convirtió recientemente en el primer estado de Estados Unidos en promulgar una ley dirigida específicamente al uso de VPN para la verificación de edad en línea. El proyecto de ley SB 73 del estado define la ubicación del usuario basándose en la presencia física en lugar de la dirección IP aparente, incluso si se utiliza una VPN o un servicio proxy para enmascarar la ubicación.
Es probable que los proveedores de VPN enfrenten un mayor escrutinio a medida que la UE revisa la legislación sobre ciberseguridad y seguridad en línea, dijo el Servicio de Investigación del Parlamento Europeo. La agencia señaló que futuras actualizaciones de la Ley de Ciberseguridad de la UE pueden introducir requisitos de seguridad infantil diseñados para evitar el uso indebido de las VPN para eludir las protecciones legales.